Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

Wanneer verwerkt een ziekenhuis gegevens “op grote schaal” onder GDPR? De Nederlandse AP verduidelijkt

12.12.2018 Leesduur: 3 minuten

De Nederlandse Autoriteit Persoonsgegevens blijft zeer actief met adviezen over de toepassing van de GDPR en met proactieve controles  op het correct naleven ervan door (Nederlandse) bedrijven.

Onderstaand recente advies van de AP is ook voor de Belgische ziekenhuissector zeer zeker relevant.  Het verduidelijkt de vraag wanneer er sprake is van verwerking van (al dan niet gevoelige) gegevens op grote schaal:

 

Uitleg begrip ‘grootschalig’ verduidelijkt voor alle zorgaanbieders

De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de Autoriteit Persoonsgegevens (AP) altijd als grootschalig. Voor alle overige zorgaanbieders geldt dat zij grootschalig persoonsgegevens verwerken als zij van meer dan 10.000 patiënten gegevens verwerken in één informatiesysteem. Met deze uitleg heeft de AP nu voor alle sectoren binnen de zorg verduidelijkt wanneer er sprake is van grootschalige gegevensverwerking. Eerder gaf de AP uitleg voor een deel van de zorgsector.

De Algemene verordening gegevensverwerking (AVG) bevat een aantal verplichtingen voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken en dit als kerntaak hebben. Deze organisaties zijn onder meer verplicht een functionaris voor de gegevensbescherming aan te stellen en moeten in bepaalde gevallen een DPIA doen. In de zorg hebben organisaties vrijwel altijd als kerntaak het verwerken van bijzondere persoonsgegevens omdat zij medische gegevens verwerken.

 

Definitie grootschaligheid voor (vrijwel) hele sector gelijk

De verwerking van bijzondere persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen is volgens de AP altijd grootschalig, ongeacht het aantal patiënten. Dat AP maakte dat al eerder bekend. Voor alle overige zorgaanbieders beschouwt de AP een verwerking als grootschalig als:
• die praktijk of instelling meer dan 10.000 patiënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten per jaar behandelt
• én de gegevens van deze patiënten in één informatiesysteem staan.

 

Nuancering ten aanzien van apothekers

Verwerkingen van persoonsgegevens door apothekers ziet de AP al gauw als grootschalig omdat apotheken gemiddeld genomen veel patiënten bedienen en met veel andere zorgaanbieders gegevens uitwisselen in het kader van de behandeling. Het zou dus goed zijn als apotheken een FG hebben. Maar als er minder dan 10.000 betrokkenen in het systeem van de apotheek zijn ingeschreven, ziet de AP dat – net als andere zorgaanbieders – niet als grootschalig. De AP nuanceert hiermee haar eerdere standpunt over apothekers na afstemming met de KNMP, de brancheorganisatie voor apothekers.

 

Functionaris voor de gegevensbescherming

Als een organisatie niet grootschalig persoonsgegevens verwerkt, kan het nog steeds nuttig zijn om een functionaris voor de gegevensbescherming (FG) aan te stellen. Een FG kan een organisatie helpen een organisatie AVG-proof in te richten. De AP adviseert ook zorgaanbieders die niet grootschalig gegevens verwerken om een FG aan te stellen. Een FG kan worden ‘gedeeld’ met andere zorgaanbieders of extern (voor een beperkt aantal uren) worden ingehuurd, zodat de organisatorische lasten beperkt kunnen blijven. Dit geldt zowel voor de vrijwillige als de verplichte FG.

 

Vragen over GDPR of databescherming in België, Nederland of Europa?

Neem gerust vrijblijvend contact op met ons team op info@siriuslegal.be of via +32 2 721 13 00

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert. 


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.